Meses después de que se descubriera la vulnerabilidad crítica de día cero en la biblioteca de Java, Apache Log4j, miles de aplicaciones y servidores aún son vulnerables al no haber aplicado los parches de seguridad.
A pesar la existencia de parches de seguridad para esta vulnerabilidad, los investigadores advierten de que una cantidad significativa de aplicaciones y servidores siguen siendo vulnerables al no haberlos implementado.
Desde que se detectó por primera vez el pasado mes de diciembre, la vulnerabilidad CVE 2021-44228, como se ha registrado, permite a los ciberdelincuentes ejecutar código de forma remota. Además, también proporciona acceso a los sistemas que utilizan Log4j.
Se trata de una vulnerabilidad que no solo es relativamente fácil de aprovechar por parte de los ciberdelincuentes. Esto se debe a que, según los expertos, Log4j está integrada en una amplia gama de aplicaciones, servicios y herramientas de software empresarial escritas en Java y que utilizan organizaciones e individuos de todo el mundo.
No obstante, a pesar de su peligrosidad y de las advertencias de los expertos, todavía hay una gran cantidad de instancias de Log4j que aún no se han parcheado y están expuestas a ciberataques.
Los investigadores de Rezilion apuntan que hay más de 90.000 aplicaciones vulnerables y más de 68.000 servidores que aún están expuestos públicamente. Sin embargo, esto podría ser solo la punta del iceberg y la superficie de ataque real podría elevar estas cifras mucho más.
Las vulnerabilidades de Log4j dejan a las organizaciones expuestas a amenazas que los ciberdelincuentes pueden llevar a cabo al escanear en busca de instancias vulnerables para explotar. De hecho, tras conocerse la existencia de Log4j, se intentó implementar ransomware y malware de criptominería en servidores vulnerables.
También se han detectado grupos patrocinados por Estados que intentan aprovechar las vulnerabilidades de Log4j. Es el caso de los grupos de espionaje patrocinados por el estado chino Hafnium y APT41, así como los grupos respaldados por Irán APT35 y Tunnel Vision.
Si bien es probable que los grupos de ciberdelincuentes respaldados por Estados tengan mucho dinero y abundantes recursos, la capacidad de explotar vulnerabilidades comunes es particularmente útil ya que es menos probable que los ataques dejen rastros que puedan estar vinculados a un grupo específico de ciberdelincuentes.
Log4j sigue muy presente
Una de las razones por las que las vulnerabilidades de Log4j aún persisten es porque la brecha podría estar profundamente arraigada en las aplicaciones, hasta el punto de que ni siquiera está claro que la biblioteca de registro de Java sea parte de ese sistema.
Pero hay pasos que pueden, y deben, tomarse para garantizar que la red esté protegida contra ataques que intentan explotar Log4j. Uno de los más importantes consiste en identificar y parchear instancias inseguras de Log4j. La red también debe examinarse periódicamente para ayudar a identificar posibles vulnerabilidades.
Según el informe de Rezilion, es clave tener procesos implementados que monitoricen continuamente el entorno en busca de vulnerabilidades críticas con énfasis en el código de terceros.
En el caso de identificar un activo vulnerable de Log4j, se recomienda que los equipos de seguridad de la información actúen sobre la base de que el sistema se ha visto comprometido, para buscar signos de posible actividad maliciosa y prepararse para tomar medidas.
Medidas para protegerse de Log4j
Las posibilidades de explotar Log4j siguen muy presentes. Por ello, los expertos recommiendan llevar a cabo una serie de estrategias para proteger a las organizaciones de esta amenaza a corto y largo plazo.
- Actualizar los firewalls de aplicaciones web (WAF) y otros dispositivos perimetrales de inmediato para ayudar a detener los ataques Log4j entrantes y salientes; entrante para proteger sus servidores, y saliente en caso de que tenga sistemas que sin saberlo pertenecen a una red de bots.
Esto puede proporcionar cierta protección a corto plazo hasta que se actualicen todos los sistemas.
- Actualizar los sistemas externos e internos. Cualquier dirección IP expuesta puede ser aprovechada por los ciberdelincuentes y atentar contra los sistemas internos.
- Cuidar cada dispositivo en la red para verificar el estado de actualización. Esto significa que cada servidor, impresora y cualquier otro dispositivo que acepte una conexión TCP entrante, especialmente una conexión web, deber estar actualizado para garantizar su seguridad.
- Supervisar la actividad de la red. Es clave buscar conexiones salientes, especialmente de aquellas accesibles desde Internet.
- Considerar el geobloqueo para minimizar el riesgo. Si se dispone de un dispositivo como NGFW o Threat Intelligence Gateway que puede implementar geobloqueo, es importante hacerlo. Es clave bloquear las conexiones entrantes y salientes a países que no son críticos para el negocio.
- Actualizar todos los servidores a Log4j 2.15.0 ya que, si hay un servidor vulnerable, es muy probable que los ciberdelincuentes lo encuentren. Pero sin olvidar la existencia de parches por parte de la Apache Software Foundation, imprescindibles para solventar el problema.